Решена Ямблер

Тема в разделе "Лечение компьютерных вирусов", создана пользователем LazySt, 19 сен 2013.

  1. LazySt
    Оффлайн

    LazySt Новый пользователь

    Сообщения:
    17
    Симпатии:
    0
    При запуске оперы вместе со стартовой экспресс панелью открывается сайт yambler.net так же во время нахождения в соцсетях при нажатии ссылок иногда вылетает разный спам..
     

    Вложения:

    • virusinfo_syscheck.zip
      Размер файла:
      22,4 КБ
      Просмотров:
      3
    • virusinfo_syscure.zip
      Размер файла:
      22 КБ
      Просмотров:
      6
    • info.txt
      Размер файла:
      31,2 КБ
      Просмотров:
      10
    • log.txt
      Размер файла:
      33,4 КБ
      Просмотров:
      11
  2. Ботан
    Оффлайн

    Ботан Злостный спам-бот

    Сообщения:
    1.092
    Симпатии:
    194
    Приветствую LazySt, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
    __________________________________________________

    Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
    • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
    Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.



    ***​


    Рекомендации, подготовленные нашими специалистами, разрабатываются индивидуально для каждого пользователя. Не используйте рекомендации, которые подготовлены для другого пользователя - это может повредить вашей системе.


    ***​


    Во время лечения четко придерживайтесь рекомендаций Консультантов, не удаляйте никаких файлов, не делайте дополнительные настройки утилит, не используйте других утилит без прямого указания Консультанта - любое из этих действий может привести к повреждению операционной системы и потере пользовательских данных!
    __________________________________________________
    С уважением, администрация SafeZone.
     
  3. Сашка
    Оффлайн

    Сашка Активный пользователь

    Сообщения:
    4.670
    Симпатии:
    2.650
    BonanzaDealsLive используете?

    страница открывается только в опере или в других браузерах тоже?

    1. Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет найдено, НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!
    Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

    2. Чтобы полностью удалить webalta, запустите AVZ - сервис - Поиск данных в реестре. В строку "образец" впишите webalta, нажмите "начать поиск", сохраните протокол и выложите в ответ. НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!

    3. сделайте лог AdwCleaner
     
  4. LazySt
    Оффлайн

    LazySt Новый пользователь

    Сообщения:
    17
    Симпатии:
    0
    Да BonanzaDealsLive установлен. незнаю что это только..
     
  5. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    LazySt, вопрос не в том установлен он или нет, а используете вы его? Если нет, то деинсталируйте его. Предполагаю, что раз вы не знаете что это за программа, то она была установлена без вашего ведома и вам не нужна.

    + от вас ждём два лога MBAM и AdwCleaner

    + результат о поиске ключей в реестре, через AVZ.
     
  6. LazySt
    Оффлайн

    LazySt Новый пользователь

    Сообщения:
    17
    Симпатии:
    0
    Вот результаты
     

    Вложения:

  7. LazySt
    Оффлайн

    LazySt Новый пользователь

    Сообщения:
    17
    Симпатии:
    0
    ссылку на адв клинер дайте пожалуйста
     
  8. Сашка
    Оффлайн

    Сашка Активный пользователь

    Сообщения:
    4.670
    Симпатии:
    2.650
    http://safezone.cc/forum/showpost.php?p=156690&postcount=1

    Добавлено через 9 минут 17 секунд
    удалите все найденное MBAM кроме этого:

    компьютер не перезагружайте.

    также удалите все найденные ключи webalta - ПКМ по списку в программе - выбрать все - нажмите кнопку "удалить отмеченные..."

    потом выложите лог AdwCleaner
     
  9. LazySt
    Оффлайн

    LazySt Новый пользователь

    Сообщения:
    17
    Симпатии:
    0
    вот
     

    Вложения:

  10. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    • Запустите повторно AdwCleaner (by Xplode), нажмите кнопку "Scan".
    • По окончанию сканирования снимите галочки со следующих строк:
      Код (Text):
      ***** [ Files / Folders ] *****
      Folder Found C:\Program Files\Mail.Ru
      Folder Found C:\Users\Стас\AppData\Local\Mail.Ru
      Folder Found C:\Users\Стас\AppData\LocalLow\Mail.Ru
      Folder Found C:\Users\Стас\AppData\Roaming\Mail.Ru
      Folder Found C:\Users\Стас\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru
      ***** [ Registry ] *****
      Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
      Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
      Key Found : HKLM\SOFTWARE\Classes\CLSID\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
      Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
      Key Found : HKLM\SOFTWARE\Classes\CLSID\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
      Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
       
    • Нажмите кнопку "Clean" и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner[S0].txt.
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

    Подробнее читайте в этом руководстве.



    что с проблемой?
     
    Последнее редактирование: 20 сен 2013
  11. LazySt
    Оффлайн

    LazySt Новый пользователь

    Сообщения:
    17
    Симпатии:
    0
    не снял галочки - поторопился.. проблема осталась
     
  12. LazySt
    Оффлайн

    LazySt Новый пользователь

    Сообщения:
    17
    Симпатии:
    0
    вот лог
     

    Вложения:

  13. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    если майл.ру агентом пользовались, то возможно придётся переставить.

    1. Скачайте Universal Virus Sniffer (uVS)
    2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
      !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
    4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
      !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
    5. Подробнее читайте в руководстве Как подготовить лог UVS
     
  14. LazySt
    Оффлайн

    LazySt Новый пользователь

    Сообщения:
    17
    Симпатии:
    0
    лог
     

    Вложения:

  15. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.469
    Симпатии:
    3.097
    C:\Program Files\Zaxar удалите под корень

    Пересоздайте ярлыки запуска браузеров в Панели быстрого запуска
     
  16. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    +
    Код (Text):
    C:\USERS\СТАС\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\PRIVET.VBS.TXT
    вам знакомо? Откройте его в блокноте и покажите содержимое.
     
  17. LazySt
    Оффлайн

    LazySt Новый пользователь

    Сообщения:
    17
    Симпатии:
    0
    блин был подменен ярлык браузера.. щас все вроде.. PRIVET.VBS.TXT это я вчера создал типа звуковое приветствие

    Добавлено через 31 секунду
    Спасибо большое!
     
  18. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
    2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
    3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
      Код (Text):
      ;uVS v3.81.2 [http://dsrt.dyndns.org]
      ;Target OS: NTv6.1

      OFFSGNSAVE
      delref %SystemDrive%\PROGRA~1\WEBSEA~1\SPROTE~1.DLL
      zoo %SystemDrive%\USERS\СТАС\APPDATA\ROAMING\UPDATEREX\UPDATEPROC\UPDATETASK.EXE
      ; C:\USERS\СТАС\APPDATA\ROAMING\UPDATEREX\UPDATEPROC\UPDATETASK.EXE
      bl E8559184A7B2C13257F596F414A5D713 95232
      delall %SystemDrive%\USERS\СТАС\APPDATA\ROAMING\UPDATEREX\UPDATEPROC\UPDATETASK.EXE
      delref %SystemDrive%\PROGRAM FILES\BONANZADEALSLIVE\UPDATE\BONANZADEALSLIVE.EXE
      delref FILES\BONANZADEALS\BONANZADEALSUPDATE.EXE
      regt 14
      restart
    4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
    5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
    6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2011-06-30_22-04-27.7z)
      Если архив отсутствует, то заархивруйте папку ZOO с паролем virus. ​
    7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
    8. Подробнее читайте в этом руководстве.
    -----------------------------------
    • Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
    • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Скопируйте содержимое файла в свое следующее сообщение.
    Подробнее читайте в этом разделе форума поддержки утилиты.
     
  19. LazySt
    Оффлайн

    LazySt Новый пользователь

    Сообщения:
    17
    Симпатии:
    0
    Security Check by glax24 version 0.2.4.58 rc1
    WebSite: www.safezone.cc
    DateLog: 22.09.2013 17:19:48
    Run directory: C:\Users\Стас\AppData\Local\Temp\SecurityCheck\
    Log directory: C:\SecurityCheck\
    IsAdmin: True
    FileVersionInet: 5.8
    __________________________________________________

    Windows 7 (6.1.7601) Service Pack 1 (x86) Ultimate Lang: Russian(0419)
    Дата установки ОС: 03.12.2011 03:09:10
    Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
    Системный диск: C:\ ФС: NTFS Емкость: [114.6 Гб] Занято: [104.5 Гб] Свободно: [10.1 Гб]
    Браузер по умолчанию: C:\Program Files\Opera\Opera.exe
    -------------Windows------------------------------
    Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления
    Контроль учётных записей пользователя отключен
    ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
    Запрос на повышение прав для администраторов отключен
    Автоматическое обновление отключено
    Центр обновления Windows (wuauserv) - Служба работает
    Центр обеспечения безопасности (wscsvc) - Служба работает
    -------------Antivirus_WMI------------------------
    Kaspersky Internet Security
    Антивирус устарел
    -------------Firewall_WMI-------------------------
    Kaspersky Internet Security
    -------------AntiSpyware_WMI----------------------
    Kaspersky Internet Security
    Windows Defender
    -------------AntiVirusFirewallInstall-------------
    Kaspersky Internet Security 2012 v.12.0.0.374
    -------------OtherUtilities-----------------------
    CCleaner v.3.14
    Malwarebytes Anti-Malware, версия 1.75.0.1300 v.1.75.0.1300
    -------------Java---------------------------------
    Java(TM) 6 Update 37 v.6.0.370 Внимание! Скачать обновления
    ^Удалите старую версию и установите новую (jre-7u40-windows-i586.exe)^
    Java 7 Update 13 v.7.0.130 Внимание! Скачать обновления
    ^Скачайте jre-7u40-windows-i586.exe^
    Java Auto Updater v.2.0.7.2
    -------------AdobeProduction----------------------
    Adobe Flash Player 11 ActiveX v.11.8.800.175 [+]
    Adobe Flash Player 11 Plugin v.11.8.800.168
    -------------Browser------------------------------
    Google Chrome v.29.0.1547.76 [+]
    Opera 12.16 v.12.16.1860
    -------------RunningProcess-----------------------
    C:\Program Files\Opera\opera.exe v.12.16.1860.0
    -------------EndLog-------------------------------
     
  20. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Систему ни разу не обновляли :(.
    Обязательно установите все обновления безопасности, включите
    обновите касперского и удалите старую java
    После этого сделайте новый лог Security Check by glax24
     

Поделиться этой страницей